Password utente modificata fornendo una nuova password in quanto hash non si sincronizza con filevault 2

2

Ho usato

default scrive "path / to / username.plist" shadowhashdata '(informazioni hash davvero lunghe)'

per amministrare un account di supporto locale sul nostro Mac, ma ho trovato, e potrebbe essere dall'aggiornamento alla 10.10.1, che la password del vault non viene aggiornata quando viene eseguita.

    
posta David F 02.06.2015 - 18:00
fonte

1 risposta

2

L'aggiornamento della password di un account per la schermata di accesso di preavvio di FileVault 2 deve coinvolgere il processo opendirectoryd quando si modifica la password dell'account. Scrivere il nuovo hash della password direttamente nel file Plist ignora opendirectoryd , quindi il processo di sincronizzazione della password non inizia mai.

Se è necessario modificare la password in questo modo, potrebbe essere necessario rimuovere e riaggiungere l'account utente con fdesetup. Ciò svuota la chiave derivata della vecchia password per FileVault 2 e imposta una chiave derivata per la nuova password.

Rimuovi:

fdesetup remove -user username_goes_here 

Re-add:

fdesetup add -usertoadd username_goes_here  

Nota: Come parte della rimozione e della riaggiunta, è necessario fornire la password di un account abilitato per FileVault 2 o una chiave di ripristino personale associata alla macchina per autorizzare le modifiche. Una cosa che è importante tenere a mente è che una volta eseguito fdesetup remove per l'account amministratore locale, l'account non sarà più abilitato per FileVault 2 e non sarà in grado di autorizzare la gestione di aggiungi fdesetup . Assicurati di avere una chiave di ripristino personale disponibile o abilita un altro account utente per FileVault 2, quindi utilizza la chiave di ripristino o la password del secondo account per autorizzare la riaggiunta dell'account dell'amministratore locale.

Commento : ho chiesto della pratica di scrivere gli hash delle password per plistare i file al fine di modificare le password mentre ero al WWDC di quest'anno. Ho ricevuto il seguente feedback dagli ingegneri Apple:

"È orribile. Non farlo."

link

    
risposta data 22.06.2015 - 02:11
fonte

Leggi altre domande sui tag